ハッカーグループの没落:Hellcatのリーダー、インフォスティーラー感染で身元を特定される | Codebook|Security News
#ニュース
#サイバーインテリジェンス
#特集
#情報セキュリティ
Codebook|Security News > Articles > Threat Report > ハッカーグループの没落:Hellcatのリーダー、インフォスティーラー感染で身元を特定される

Threat Report

Silobreaker-CyberAlert

スティーラー

ハッカーグループの没落:Hellcatのリーダー、インフォスティーラー感染で身元を特定される

nosa

nosa

2025.04.01

4月1日:サイバーセキュリティ関連ニュース

ハッカーグループの没落:Hellcatのリーダー、インフォスティーラー感染で身元を特定される

Securityexpress[.]info – March 31, 2025

イスラエルのセキュリティ企業KELAの調査により、Hellcatグループの中心人物「Rey」と「Pryx」の正体が明らかになった。

元々ICA Groupとして知られていたこのシンジケートは、2024年後半までにHellcatに改名。集団としてのつながりと凶暴性を強化すると、シュナイダーエレクトリックやテレフォニカ、Orange Romaniaといった企業に対するサイバー攻撃で悪名をとどろかせていた。

Reyは当初、BreachForums上に「Hikki-Chan」として登場し、独占的に侵害したとされるデータをリークしていたが、その一部が以前の侵害から再利用されていたことが発覚して失脚。しかし新たな偽名で再登場し、Hellcatの管理権を引き受けていた。

一方、Pryxは2024年半ばに教育機関を標的としたサイバー攻撃を開始し、その後にターゲットを湾岸諸国およびカリブ海地域の政府システムや民間企業にまで拡大。ほかにもAES-256に基づく独自の暗号化ツールを開発・販売し、XSSなどのプラットフォームに技術ガイドを掲載していただけでなく、Webサイトのpryx.pwとpryx.ccを管理していたとされる。

KELAの調査によると、Reyは2024年初頭にインフォスティーラーのRedlineとVidarに感染していたことが判明し、これがきっかけとなって最終的にヨルダンのアンマン出身のSaifという若い男が特定された。この男の身元はReyに一致すると考えられ、これまで「ggyaf」や「o5tdev」という別名を使っていたことや、RaidForumsとBreachForumsで活動し、Anonymous Palestineと公に連携していたことがわかっている。

同じくPryxはアラビア語を話し、遅くとも2018年からカード詐欺に関与していた人物とされ、使用ツールの1つを技術的に分析した結果、同アクターに直接関連するドメインなどの証拠が見つかり、UAE在住のAdemという男にたどり着いたようだ。さらに詳しく分析した結果、PryxはWeedまたはWeedSecとして知られる別のハッカーとのつながりも明らかになっている。

関連記事

Threat Report

Silobreaker-CyberAlert

Orange Groupが侵害認める 企業文書のリーク受け

nosa

nosa

2025.02.26

Silobreaker-CyberAlert

関連記事

Threat Report

HELLCAT、スティーラーの盗んだ認証情報を悪用するお決まりの手口でJLR社を侵害

佐々山 Tacos

佐々山 Tacos

2025.03.18

ハッカーがWordPressの必須プラグインを悪用、スパム注入でサイトの画像をハイジャック

The Hacker News – Mar 31, 2025

脅威アクターがWordPressサイトの「mu-plugins」ディレクトリを悪用して有害なコードを仕込み、永続的なリモートアクセスを取得するだけなく、訪問者を偽サイトに誘導する事例が多数確認されている。

mu-pluginsは必須プラグインの略語で、特別なディレクトリ(「wp-content/mu-plugins」) にあるプラグインを指す。これらのプラグインはユーザー自身が有効化しなくてもWordPressによって自動で実行されるため、マルウェアのステージングに理想的なディレクトリと考えられている。Webサイトセキュリティ会社のSucuriが分析したインシデントでは、同ディレクトリ内で以下の不正なPHPコードが発見されたという。

  • wp-content/mu-plugins/redirect.php:訪問者を外部の有害サイトに誘導する
  • wp-content/mu-plugins/index.php:Webシェルのような機能を提供し、GitHubでホストされたリモートPHPスクリプトをダウンロードすることで攻撃者が任意のコードを実行できるようになる
  • wp-content/mu-plugins/custom-js-loader.php:サイト上のすべての画像を露骨なコンテンツに置き換え、アウトバウンドリンクを乗っ取って有害サイトを開かせるものに変更することで、感染サイトに不要なスパムを挿入する(目的はおそらく詐欺の助長やSEOランキングの操作)

Sucuriの研究者Puja Srivastava氏によると、「redirect.php」はWebブラウザのアップデートを装い、被害者を騙してデータを盗んだり、追加のペイロードをドロップしたりするマルウェアをインストールするという。「mu-pluginsは標準のWordPressプラグインインターフェースにリストされていないため目立ちにくく、ユーザーが日常的なセキュリティチェック中に無視しやすくなる」と同氏は指摘した。

なお、WordPress向けにセキュリティツールを提供するPatchstackの新しいレポートによると、今年に入ってから日常的に悪用されているWordPressプラグインの脆弱性は数件あり、特にそのうち3件(CVE- 2024-25600、CVE-2024-8353、CVE-2024-4345)はCVSSが10.0と深刻度が極めて高いものとなっている。

Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~

Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらのバナーから:

目次

第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法

第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響

第3章:スティーラーの急成長と認証情報の漏洩が生むリスク

第4章:サプライチェーンリスク

第5章:2024 年に組織を脅かした脆弱性

関連投稿


高まる懸念:Windows Recallから全データを抽出できるツールを、研究者がリリース
05.06.2024
Threat Report
米CISA、Linuxカーネルの脆弱性が悪用されていると警告:CVE-2024-1086
03.06.2024
Threat Report
盗難認証情報を使い、ダークネット上の児童虐待サイトユーザー数千人の身元を特定できる可能性
03.07.2024
Threat Report
独ミサイル製造業者の侵害、実行者は北朝鮮ハッカーとの報道
01.10.2024
Threat Report
日本も標的に:Google Meetの偽エラーメッセージがStealCなどのスティーラーマルウェアを配布
21.10.2024
Threat Report

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ